Zentrum für Informationssicherheit

Größe: px
Ab Seite anzeigen:

Download "Zentrum für Informationssicherheit"

Transkript

1 SEMINARE 2015 Zentrum für Informationssicherheit Webanwendungssicherheit Webanwendungssicherheit und Penetrationstests Webanwendungssicherheit-Workshop Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme Cyber Akademie (CAk) ist eine eingetragene Marke

2 Webanwendungssicherheit Webapplikationen bzw. Websites allgemein stellen eine sehr beliebte Angriffsmöglichkeit für Hacker und Kriminelle dar, um in die IT-Infrastruktur einer Organisation einzudringen. Zum einen hängt dies mit den zum Teil sehr fehleranfälligen verwendeten Technologien zusammen. Des Weiteren sind viele Webapplikationen quasi Individualanfertigungen mit entsprechend begrenzten Möglichkeiten zur Qualitätssicherung. Um trotzdem Webanwendungen sicher betreiben oder auch selbst erstellen zu können, sind entsprechende Kenntnisse über Webtechnologien und vor allen Dingen die potentiellen Angriffsvektoren und Schutzmaßnahmen erforderlich. Die Cyber Akademie führt dazu drei Seminare für unterschiedliche Zielgruppen mit verschiedenen Detailtiefen und Schwerpunkten durch: Webanwendungssicherheit und Penetrationstests bietet innerhalb einen Tages eine kompakte Einführung in das Thema. Die Teilnehmer erhalten einen Überblick über die häufigsten Sicherheitslücken bei Webanwendungen, geeignete Schutzmaßnahmen sowie Möglichkeiten zur Durchführung von Penetrationstests. Der dreitägige Webanwendungssicherheit-Workshop richtet sich an Teilnehmer mit Kenntnissen im Bereich HTTP bzw. Webtechnologien, welche unter Anleitung von Experten praktische Erfahrungen bezüglich Penetrationstests zum Erkennen von Lücken und Schutzmaßnahmen gewinnen wollen. Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme legt den Fokus auf die Ausschreibung bzw. die Entwicklung von Webapplikationen im Auftrag von Behörden. Nach einer Einführung in die Sicherheitslücken wird im zweitägigen Seminar vermittelt, welche IT-Sicherheitsanforderungen bei einer Vergabe von Webanwendungsentwicklungen berücksichtigt werden sollten. Weiterhin wird erläutert, wie deren Einhaltung bei Projektabwicklung und Abnahme überprüft und ein sicherer Software-Entwicklungs-Prozess (Secure Development Lifecycle) implementiert werden kann. Ausführliche Informationen zu den Seminaren erhalten Sie auf den folgenden Seiten. 2

3 Webanwendungssicherheit und Penetrationstests Zielsetzung Die Teilnehmer des Seminars erhalten einen allgemeinverständlichen und umfassenden Überblick über die spezifischen Angriffsmöglichkeiten, welchen Webanwendungen ausgesetzt sind. Anhand von praktischen Beispielen und Demonstrationen werden die Lücken mit den höchsten Risiken und der größten Verbreitung sogenannte OWASP Top 10 (Open Web Application Security Project) erläutert. Aus Zeit- und Effizienzgründen werden keine Hands-On-Übungen durchgeführt. Es werden jedoch praktische Empfehlungen gegeben, wie die Teilnehmer im Nachgang auf Basis kostenfreier Test-Werkzeuge autark entsprechende Penetrations-Übungen selbst durchführen können. Referent Tobias Glemser, Geschäftsführer der secuvera GmbH, verfügt über langjährige Erfahrung im Bereich Sicherheitsüberprüfungen und Penetrationstests. Er ist BSI-zertifizierter Penetrationstester und Certified Ethical Hacker. Darüber hinaus ist er BSI-geprüfter Evaluator und damit berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. Herr Glemser ist Mitglied des German Chapter Boards des Open Web Application Security Project (OWASP) und hauptverantwortlich für die Erstellung des OWASP-Whitepapers Projektierung der Sicherheitsprüfung von Webanwendungen. Seit vielen Jahren ist Herr Glemser sowohl im Rahmen technischer Audits als auch in BSI-Grundschutzprojekten im Behördenumfeld tätig. Zielgruppe IT-Sicherheitsbeauftragte, CISOs, IT- und IT-Sicherheitsverantwortliche, IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, Datenschutzbeauftragte. termine und orte 10. September 2015, Köln 24. November 2015, Berlin Preis 490, Euro zzgl. MwSt. 3

4 Webanwendungssicherheit und Penetrationstests THEMENÜBERBLICK: 9:30 17:00 Uhr Einführung in relevante Organisationen (OWASP, WASC) und Vorgehensweisen (Source-Code-Analyse, Penetrationstests) Beispiele in der öffentlichen Wahrnehmung Die zehn häufigsten Sicherheitsrisiken bei Webanwendungen: OWASP Top 10 (u. a. SQL-Injection, Cross-Site-Scripting, CSRF, Denial-of-Service) Interaktive Demonstrationen zu allen Risiken Aufzeigen der Auswirkungen Passende Beispiele mit realem Bezug Vorstellung von Prüfwerkzeugen und Methoden bei der Prüfung Vorstellung des Bausteins Webanwendungen aus dem IT-Grundschutz des BSI OWASP = Open Web Application Security Project WASC = Web Application Security Consortium 4

5 Webanwendungssicherheits-Workshop Zielsetzung Nach einem kurzen Überblick zu Webtechnologien erfahren die Teilnehmer anhand praktischer Beispiele und Demonstrationen, welchen Angriffsmöglichkeiten und Risiken Webapplikationen ausgesetzt sind. Mittels entsprechender Tools führen die Teilnehmer selbst an bereitgestellten PC-Arbeitsplätzen Penetrationstests durch, erlernen auf praktische Weise das Erkennen von Lücken sowie Angriffsvektoren und kennen nach dem Workshop die technischen Möglichkeiten zur Absicherung von Webanwendungen. Zielgruppe IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, CERT-Personal, IT-Sicherheitsbeauftragte trainer Tobias Elsner ist als IT Security Resulter GmbH im Schwerpunkt für die Planung und Durchführung von IT-Sicherheitsüberprüfungen verantwortlich. Er verfügt über mehr als 14 Jahre Erfahrung als IT-Berater in den Bereichen IT-Infrastruktur, IT-Security und Servervirtualisierung und verfügt über die Qualifikation EC Council Certified Ethical Hacker. Grundkenntnisse im Bereich HTTP bzw. Webtechnologien werden vorausgesetzt. termine und orte Oktober 2015, Frankfurt a. M. Preis 1.420, Euro zzgl. MwSt. 5

6 Webanwendungssicherheits-Workshop THEMENÜBERBLICK: 1. Tag, 13:00 18:00 Uhr Grundlagen der Webtechniken Webserver: Apache, Tomcat & Co. HTML, CSS Skriptsprachen: PHP, Perl, Python, Ruby Java-Servlets und JSP Datenbanken Ajax, Javascript, HTML5 Schwachstellen von Webanwendungen Teil 1 Information Disclosure Path-Traversal Authorization Header Manipulation / Header Poisoning SSL-Stripping Website-Spoofing, SSL-Website-Spoofing THEMENÜBERBLICK: 2. Tag, 8:30 17:00 Uhr Schwachstellen von Webanwendungen Teil 2 File-Upload Buffer-Overflows Cross-Site Scripting (XSS), reflectes, persistant, DOM-based XSS Session-Hijacking, Session-Fixation Cross-Site Request Forgery (CSRF) / Session Riding Frame-Spoofing, Link-Spoofing Clickjacking / Der X-FRAME-OPTION Response-Header SQL-Injection, Advanced SQLI, Blind SQL-Injection Command-Injection, XML-Injection, XPATH-Injection, LDAP-Injection Privilege Escalation Insecure Direct Object Reference 2nd Order Code-Injection THEMENÜBERBLICK: 3. Tag, 8:30 15:00 Uhr: Gegenmaßnahmen Webserversicherheit Verschlüsselung Sicheres Programmieren Sichere Datenbankanwendung Auffinden von Schwachstellen Manueller Code-Review/Code-Check Toolgestützte Untersuchung des Quellcodes Pentests gegen Webapplikationen Tools Vorstellung von Tools, wie z. B. nikto, skipfish, burp, dirbuster, sqlmap, CSRFGuard 6

7 Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme Mit Webanwendungen können Behörden und Unternehmen moderne Dienstleistungen für Bürger und Kunden bereitstellen. Um aber auch dem spezifischen Schutzbedarf gerecht zu werden, sollten entsprechende IT-Sicherheitsvorgaben zur Konzeption, Umsetzung und zum Betrieb von Webanwendungen rechtzeitig im Rahmen der Vergabe oder des Entwicklungsprojekts eingebracht werden. Zielsetzung Das Seminar zeigt die spezifischen Sicherheitslücken in Webanwendungen auf. Anhand von Praxisbeispielen werden die Grundlagen für Beauftragung, Projektierung, Entwicklung und Abnahme sicherer Webanwendungen vermittelt. Die Teilnehmer werden befähigt, IT-Sicherheitsanforderungen nach dem Stand der Technik in Projektplanungen und Vergabeunterlagen zu integrieren, die Eignung potentieller Auftragnehmer anhand von Leistungskriterien bereits vor dem Projektstart zu bewerten, die Leistungen von Auftragnehmern während Vergabe und Projektumsetzung anhand von Quality Gates zu bewerten, IT-Sicherheitsanforderungen im Entwicklungsprozess zu implementieren und umzusetzen, den Reifegrad des Prozesses zu bestimmen und zu erhöhen, den Abnahmeprozess für Webanwendungen durchzuführen. Die Seminarinhalte orientieren sich dabei an den entsprechenden Leitfäden des BSI. Zielgruppe Auftraggeber in der öffentlichen Verwaltung (technischer Einkauf, Projektmanager, QS), Projekt-, Fach- und IT-Sicherheitsverantwortliche in Behörden, Unternehmen, die im Auftrag Webanwendungen entwickeln (Projektmanager, SW-Entwickler, ) Referent Amir Salkic, MsC Informationsmanagement und Computersicherheit, ist Security Consultant bei der SEC Consult Unternehmensberatung GmbH und berät nationale wie internationale Kunden in den Themen Informationssicherheit, Awareness und Applikationssicherheit. Herr Salkic verfügt über umfangreiche Erfahrungen aus Projekten für Behörden und Unternehmen und hat an den BSI-Leitfaden zur Entwicklung sicherer Webanwendungen mitgewirkt. termine und orte Oktober 2015, Berlin Preis 890, Euro zzgl. MwSt. 7

8 Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme THEMENÜBERBLICK: 1.Tag, 11:00 17:30 Uhr Einleitung Rückblick auf erfolgreiche Hacks Brechen mit bekannten Mythen Kategorisierung von Angreifern Vorgehensweisen von Angreifern (Demonstration) Definition von Sicherheit Sichere Softwareentwicklung Was ist ein sicherer Entwicklungsprozess (Secure Development Lifecycle SDL)? Umsetzung eines SDL s in einem Unternehmen Roadmaps als Unterstützung bei der Umsetzung Angemessene Sicherheit definieren Naheliegende Aktionsmöglichkeiten ( Low Hanging Fruits ) erkennen Erstellen von Sicherheitsrichtlinien Vergabephase Ausschreibungsverfahren von Webanwendungen Leistungskriterien und Quality Gates Bewertung von Auftragnehmern Bewertung anhand von Reifegraden Bestimmung des Schutzbedarfs einer Webanwendung SDL-Aktivitäten, -Umsetzung, Abnahmekriterien Durchführen einer Anforderungsanalyse Erstellen eines Sicherheitsprojektplans Erstellen einer Datenbehandlungsstrategie Erstellen von Abuse Cases THEMENÜBERBLICK: 2.Tag, 8:30 15:00 Uhr SDL-Aktivitäten, -Umsetzung, Abnahmekriterien (Fortsetzung) Erstellen einer Sicherheitsarchitektur Durchführen einer Bedrohungsmodellierung Software-Sicherheits-Metriken Sicherer Umgang mit Sourcecode Secure Coding Standards Überblick über Testverfahren (Design Review, Code Review, Penetrationstest, etc.) sichere Auslieferung von Software Plattformhärtung Änderungsmanagement Security Response Vorgaben an die Implementierung Design-Prinzipien Datenvalidierung Kryptografie Authentisierung und Sessions Datenhaltung und -transport Abschlussdiskussion und individuelle Fragestellungen 8

9 Anmeldung Fax-Anmeldung an: +49(0) Online-Anmeldung unter: Ich nehme an folgendem(n) Seminar(en) teil: Webanwendungssicherheit und Penetrationstests 24. November 2015, Berlin Webanwendungssicherheits-Workshop Oktober 2015, Frankfurt a. M. zum Preis von jeweils 490, Euro zzgl. MwSt. zum Preis von jeweils 1.420, Euro zzgl. MwSt. Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme Oktober 2015, Berlin zum Preis von jeweils 890, Euro zzgl. MwSt. Firma/Behörde*: Abteilung*: Funktion*: Vorname*: Name*: Straße*: PLZ*: Ort*: Personalisierte *: Ort/Datum/Unterschrift: Freiwillige Angaben Telefon: Fax: Die mit* gekennzeichneten Felder sind für eine Anmeldung unbedingt erforderlich. Ansprechpartnerin für organisatorische Fragen: Julia Kravcov, Veranstaltungsmanagement Tel.: +49(0) , Fax: +49(0) , Eine Anmeldung mit diesem Formular oder unter ist Voraussetzung für die Teilnahme. Die Teilnahmegebühr versteht sich zzgl. gesetzlicher Mehrwertsteuer und beinhaltet Mittagessen, Erfrischungs- und Pausengetränke und die Dokumentation/Tagungsunterlagen. Die Teilnehmerzahl ist begrenzt. Zusagen erfolgen deswegen in der Reihenfolge der Anmeldungen. Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung per und eine Rechnung per Post. Bei Stornierung der Anmeldung bis zwei Wochen vor Veranstaltungsbeginn wird eine Bearbeitungsgebühr in Höhe von 100, Euro zzgl. MwSt. erhoben. Danach oder bei Nicht erscheinen des Teilnehmers wird die gesamte Tagungsgebühr berechnet. Selbstverständlich ist eine Vertretung des angemel deten Teilnehmers möglich. Mit dieser Anmeldung erkläre ich mich mit den Allgemeinen Geschäftsbedingungen des Veranstalter einverstanden: siehe unter: 9

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen

Mobile Device Security Risiken und Schutzmaßnahmen Mobile Device Security Risiken und Schutzmaßnahmen 17. 19. Februar 2014, Hamburg 26. 28. Mai 2014, Köln 27. 29. August 2014, Berlin 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen

Mehr

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen

Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen Cyber-Sicherheit bei Cloud und Virtualisierung Sicherer Aufbau und Betrieb von Cloud- und Virtualisierungsumgebungen 17. 18. Juni 2014, Berlin 9. 10. Dezember 2014, Düsseldorf Cyber-Sicherheit bei Cloud

Mehr

Mobile Device Security Risiken und Schutzmaßnahmen. 5. 7. November 2014, Stuttgart

Mobile Device Security Risiken und Schutzmaßnahmen. 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen 5. 7. November 2014, Stuttgart Mobile Device Security Risiken und Schutzmaßnahmen 5. 7. November 2014 Mobile Endgeräte verändern wesentlich unseren Alltag

Mehr

5. März 2014, München

5. März 2014, München Datenschutz-Praxis Fahrplan für das erste Jahr als Datenschutzbeauftragter Was sind die wesentlichen Handlungsfelder und durchzuführenden Maßnahmen im ersten Jahr als Datenschutzbeauftragter? 5. März 2014,

Mehr

26. November 2014, Frankfurt a.m.

26. November 2014, Frankfurt a.m. Datenschutz-Praxis Verfahrensverzeichnis und Vorabkontrolle Wann dürfen Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingesetzt werden, wie werden sie gesetzeskonform dokumentiert?

Mehr

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken

IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken Welchen IT-Risiken ist meine Institution ausgesetzt? Praktische Anleitung zur Erstellung von IT-Risikostrategien 24. 25. März 2014,

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 23. 27. November 2015, Hannover Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de Das Bundesdatenschutzgesetz

Mehr

IPv6 Umsetzung in der öffentlichen Verwaltung Hintergründe, Zusammenhänge, Handlungsempfehlungen 14. 15. November 2013, Berlin

IPv6 Umsetzung in der öffentlichen Verwaltung Hintergründe, Zusammenhänge, Handlungsempfehlungen 14. 15. November 2013, Berlin IPv6 Umsetzung in der öffentlichen Verwaltung Hintergründe, Zusammenhänge, Handlungsempfehlungen 14. 15. November 2013, Berlin IPv6 Umsetzung in der öffentlichen Verwaltung Einleitung Die rasante Veränderung

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 9. 13. März 2015, Berlin 14. 18. September 2015, Köln Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de

Mehr

Identity Management Mehr Sicherheit, weniger Aufwand Sicherheitsgewinn und Prozessoptimierung mit Identity Management (IDM) 12. November 2013, Berlin

Identity Management Mehr Sicherheit, weniger Aufwand Sicherheitsgewinn und Prozessoptimierung mit Identity Management (IDM) 12. November 2013, Berlin Identity Management Mehr Sicherheit, weniger Aufwand Sicherheitsgewinn und Prozessoptimierung mit Identity Management (IDM) 12. November 2013, Berlin Identity Management Mehr Sicherheit, weniger Aufwand

Mehr

Big Data Risiken, Herausforderungen und Chancen für Behörden Grundlagen zur Planung, Bereitstellung, Nutzung und Sicherheit von Big Data

Big Data Risiken, Herausforderungen und Chancen für Behörden Grundlagen zur Planung, Bereitstellung, Nutzung und Sicherheit von Big Data Big Data Risiken, Herausforderungen und Chancen für Behörden Grundlagen zur Planung, Bereitstellung, Nutzung und Sicherheit von Big Data 28. 29. Januar 2014, Berlin Big Data Einleitung Die Informationsflut

Mehr

Mobile-Device-Security. 6. 8. Mai 2013, Bonn

Mobile-Device-Security. 6. 8. Mai 2013, Bonn Mobile-Device-Security 6. 8. Mai 2013, Bonn Die Cyber Akademie Zentrum für Informationssicherheit Die Cyber Akademie ist ein unabhängiges Ausbildungs- und Kompetenzzentrum für Informationssicherheit und

Mehr

Alles Cyber aber sicher: Trends in der Cyber-Sicherheit Big Data, Cloud-, Mobile- und Social-Computing und wo bleibt die Sicherheit?

Alles Cyber aber sicher: Trends in der Cyber-Sicherheit Big Data, Cloud-, Mobile- und Social-Computing und wo bleibt die Sicherheit? Alles Cyber aber sicher: Trends in der Cyber-Sicherheit Big Data, Cloud-, Mobile- und Social-Computing und wo bleibt die Sicherheit? 4. 5. März 2013, Bonn Die Cyber Akademie Zentrum für IT-Sicherheit Die

Mehr

IT-Notfallübungen In der Krise sicher handeln Vorbereitung, Durchführung und Nachbereitung von IT-Notfallübungen

IT-Notfallübungen In der Krise sicher handeln Vorbereitung, Durchführung und Nachbereitung von IT-Notfallübungen IT-Notfallübungen In der Krise sicher handeln Vorbereitung, Durchführung und Nachbereitung von IT-Notfallübungen 27. März 2014, Hamburg 5. Juni 2014, Bonn 18. September 2014, München 4. Dezember 2014,

Mehr

Datenschutzbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation

Datenschutzbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation Datenschutzbeauftragter in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation 23. 27. Juni 2014, Hamburg 22. 26. September 2014, Bonn Datenschutzbeauftragter in der öffentlichen Verwaltung

Mehr

Methodenhandbuch des DLZ-IT für IT-Projekte in der öffentlichen Verwaltung

Methodenhandbuch des DLZ-IT für IT-Projekte in der öffentlichen Verwaltung Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Methodenhandbuch des DLZ-IT für IT-Projekte in der öffentlichen Verwaltung 12. November 2015, Berlin www.fuehrungskraefte-forum.de

Mehr

Wissensmanagement in der öffentlichen Verwaltung

Wissensmanagement in der öffentlichen Verwaltung ORGANISATION UND MANAGEMENT Praxisseminar Wissensmanagement in der öffentlichen Verwaltung Der Schlüssel für nachhaltigen Erfolg 16. 17. September 2013, Berlin Eine Veranstaltungsreihe des Praxisseminare

Mehr

IT-Management in der öffentlichen Verwaltung

IT-Management in der öffentlichen Verwaltung Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar IT-Management in der öffentlichen Verwaltung 13. 14. April 2015, Berlin www.fuehrungskraefte-forum.de 2 Kompetenz für

Mehr

Grundlagen der kommunalen Rechnungsprüfung

Grundlagen der kommunalen Rechnungsprüfung Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Grundlagen der kommunalen Rechnungsprüfung 21. 22. September 2015, Berlin www.fuehrungskraefte-forum.de 2 Kompetenz für

Mehr

Agile Methoden zum Management von IT-Projekten

Agile Methoden zum Management von IT-Projekten Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Agile Methoden zum Management von IT-Projekten 01. 02. Dezember 2015, Berlin www.fuehrungskraefte-forum.de 2 Kompetenz

Mehr

IHK: Web-Hacking-Demo

IHK: Web-Hacking-Demo sic[!]sec, Achim Hoffmann IHK: Web-Hacking-Demo, Bayreuth 1. April 2014 1 von 34 IHK: Web-Hacking-Demo Achim Hoffmann Achim.Hoffmann@sicsec.de Bayreuth 1. April 2014 sic[!]sec GmbH spezialisiert auf Web

Mehr

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.

Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5. Abbildung der Gefährdungen der WASC und OWASP auf die Gefährdungen und Maßnahmenempfehlungen des IT-Grundschutz-Bausteins B 5.21 Die Zusammenstellung der Gefährdungen für den Baustein 5.21 bediente sich

Mehr

Vergabe von Dienst - leistungskonzessionen

Vergabe von Dienst - leistungskonzessionen Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Vergabe von Dienst - leistungskonzessionen 12. November 2015, Berlin www.fuehrungskraefte-forum.de 2 Kompetenz für Fach-

Mehr

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen

Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Hacker-Tool Browser von der Webanwendung zu den Kronjuwelen Ralf Reinhardt 28.11.2013, 16:40 Uhr Roadshow Sicheres Internet aiti-park Werner-von-Siemens-Str. 6 86159 Augsburg 1 Hacker-Tool Browser Über

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit IT-Risiko- und IT-Notfallmanagement IT-Risikomanagement Identifikation, Bewertung und Bewältigung von Risiken IT-Notfallplanung Vorausschauende Vorbereitung

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Agile Verwaltungsentwicklung

Agile Verwaltungsentwicklung Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Agile Verwaltungsentwicklung 23. September 2014, Berlin www.fuehrungskraefte-forum.de 2 Kompetenz für Fach- und Führungskräfte

Mehr

Grundlagen der Exportkontrolle. Praxisseminar. Aufgaben und Haftung des Managements. 08. Oktober 2015, Frankfurt a.m. Aus der Praxis für die Praxis

Grundlagen der Exportkontrolle. Praxisseminar. Aufgaben und Haftung des Managements. 08. Oktober 2015, Frankfurt a.m. Aus der Praxis für die Praxis Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Grundlagen der Exportkontrolle Aufgaben und Haftung des Managements 08. Oktober 2015, Frankfurt a.m. www.fuehrungskraefte-forum.de

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10

Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 The OWASP Foundation http://www.owasp.org Absicherung von Web-Anwendungen in der Praxis Highlights aus den OWASP TOP 10 Tobias Glemser tobias.glemser@owasp.org tglemser@tele-consulting.com Ralf Reinhardt

Mehr

Breitbandversorgung im ländlichen Raum

Breitbandversorgung im ländlichen Raum Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Breitbandversorgung im ländlichen Raum Geschäftsmodelle, Wertschöpfung, Förderungen, Vorleistungen, Finanzierung 28. Oktober

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken auf Web-Applikationen. Andreas Kurtz cirosec GmbH, Heilbronn Aktuelle Angriffstechniken auf Web-Applikationen Andreas Kurtz cirosec GmbH, Heilbronn Gliederung Schwachstellen-Überblick Präsentation aktueller Angriffstechniken XPath-Injection Cross-Site Request Forgery

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Webapplikationssicherheit (inkl. Livehack) TUGA 15

Webapplikationssicherheit (inkl. Livehack) TUGA 15 Webapplikationssicherheit (inkl. Livehack) TUGA 15 Advisor for your Information Security Version: 1.0 Autor: Thomas Kerbl Verantwortlich: Thomas Kerbl Datum: 05. Dezember 2008 Vertraulichkeitsstufe: Öffentlich

Mehr

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com

itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 2013 OneConsult GmbH www.oneconsult.com itsc Admin-Tag OWASP Top 10 Tobias Ellenberger COO & Co-Partner OneConsult GmbH 13.03.2013 Agenda Vorstellung Open Web Application Security Project (OWASP) Die OWASP Top 10 (2013 RC1) OWASP Top 3 in der

Mehr

SEC Consult als Trainingspartner, weil

SEC Consult als Trainingspartner, weil SEC Consult als Trainingspartner, weil SEC Consult ein unabhängiger Experte für das Thema Application Security ist. SEC Consult der immer größer werdenden Nachfrage mit hochspezialisierten Schulungen in

Mehr

Web Application Testing

Web Application Testing Sicherheit von Web Applikationen - Web Application Testing Veranstaltung: IT-Sicherheitstag NRW, 04.12.2013, KOMED MediaPark, Köln Referent: Dr. Kurt Brand Geschäftsführer Pallas GmbH Pallas GmbH Hermülheimer

Mehr

Bau und Betrieb von Asylbewerberunterkünften

Bau und Betrieb von Asylbewerberunterkünften Aus der Praxis für die Praxis Kompetenz für Fach- und Führungskräfte Praxisseminar Bau und Betrieb von Asylbewerberunterkünften 24. April 2015, Düsseldorf 11. September 2015, Frankfurt a.m. www.fuehrungskraefte-forum.de

Mehr

Deutschland & Österreich. Kursprogramm

Deutschland & Österreich. Kursprogramm Deutschland & Österreich Kursprogramm 2015 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern-)Revision,

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

IT-Sicherheit auf dem Prüfstand Penetrationstest

IT-Sicherheit auf dem Prüfstand Penetrationstest IT-Sicherheit auf dem Prüfstand Penetrationstest Risiken erkennen und Sicherheitslücken schließen Zunehmende Angriffe aus dem Internet haben in den letzten Jahren das Thema IT-Sicherheit für Unternehmen

Mehr

V10 I, Teil 2: Web Application Security

V10 I, Teil 2: Web Application Security IT-Risk-Management V10 I, Teil : Web Application Security Tim Wambach, Universität Koblenz-Landau Koblenz, 9.7.015 Agenda Einleitung HTTP OWASP Security Testing Beispiele für WebApp-Verwundbarkeiten Command

Mehr

Netzwerksicherheit Übung 9 Websicherheit

Netzwerksicherheit Übung 9 Websicherheit Netzwerksicherheit Übung 9 Websicherheit David Eckhoff, Tobias Limmer, Christoph Sommer Computer Networks and Communication Systems Dept. of Computer Science, University of Erlangen-Nuremberg, Germany

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Deutschland & Österreich. Kursprogramm

Deutschland & Österreich. Kursprogramm Deutschland & Österreich Kursprogramm 2014 SEC consult academy portfolio Application security Management Application Security Management Kurzlehrgang CIOs, CISOs, IT-Leiter, Mitarbeiter der (Konzern)-Revision,

Mehr

Sicherheit von Webapplikationen Sichere Web-Anwendungen

Sicherheit von Webapplikationen Sichere Web-Anwendungen Sicherheit von Webapplikationen Sichere Web-Anwendungen Daniel Szameitat Agenda 2 Web Technologien l HTTP(Hypertext Transfer Protocol): zustandsloses Protokoll über TCP auf Port 80 HTTPS Verschlüsselt

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox

Carsten Eilers www.ceilers-it.de. Pentesters Toolbox Carsten Eilers www.ceilers-it.de Pentesters Toolbox Vorstellung Berater für IT-Sicherheit Autor PHP Magazin, Entwickler Magazin Buch Ajax Security www.ceilers-news.de und anderes... Schwachstellen-Datenbank

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec.

BSI IT-Grundschutztag, 13.06.2013, Regensburg 2013 by sic[!]sec GmbH in Groebenzell, Germany. - For personal use only. - http://www.sicsec. 1 BSI Grundschutzbaustein Webanwendungen Absicherung von Webanwendungen in der Praxis - Highlights aus den OWASP Top 10 Ralf Reinhardt 13.06.2013, 13:30 Uhr BSI IT-Grundschutztag Tagungs- und Besucherzentrum

Mehr

OWASP German Chapter. Chapter Meeting 17.05.2013

OWASP German Chapter. Chapter Meeting 17.05.2013 The OWASP Foundation http://www.owasp.org OWASP German Chapter Chapter Meeting 17.05.2013 Tobias Glemser tobias.glemser@owasp.org Was ist OWASP? Was ist OWASP? Fear, Uncertainty and Doubt (FUD) Angstkultur

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Online-Portale 2.0: Security ist auch ein Web-Design-Thema

Online-Portale 2.0: Security ist auch ein Web-Design-Thema Online-Portale 2.0: Security ist auch ein Web-Design-Thema Dirk Reimers Bereichsleiter Pentest / Forensik secunet Security Networks AG +49 201 54 54-2023 dirk.reimers@secunet.com Vorstellung Dirk Reimers

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

Secure Webcoding for Beginners

Secure Webcoding for Beginners Secure Webcoding for Beginners $awareness++ Florian Brunner Florian Preinstorfer 09.06.2010 Hacking Night 2010 Vorstellung Florian Brunner Software Engineer CTF-Team h4ck!nb3rg Student sib08 Florian Preinstorfer

Mehr

Welche Gefahren gehen vom Firmenauftritt im Internet aus?

Welche Gefahren gehen vom Firmenauftritt im Internet aus? Die Webseite als Eintrittspunkt Welche Gefahren gehen vom Firmenauftritt im Internet aus? Bekannt gewordene Schwachstellen & Angriffe Bekannt gewordene Schwachstellen & Angriffe Quelle: http://www.vulnerability-db.com/dev/index.php/2014/02/06/german-telekom-bug-bounty-3x-remote-vulnerabilities/

Mehr

Angreifbarkeit von Webapplikationen

Angreifbarkeit von Webapplikationen Vortrag über die Risiken und möglichen Sicherheitslücken bei der Entwicklung datenbankgestützter, dynamischer Webseiten Gliederung: Einführung technische Grundlagen Strafbarkeit im Sinne des StGB populäre

Mehr

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke

OWASP. Open Web Application Security Project. Dr. Ingo Hanke. IDEAS Information & Design Applications. Dr. Ingo Hanke OWASP IDEAS Information & Design Applications O WA S P O WA S P WA S ist Web Application Security? Part I: Web Application Security Aufgabe 1 Werte identifizieren Personenbezogene Daten Sachdaten Prozesse

Mehr

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Datensicherheit. Vorlesung 5: 15.5.2015. Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter Datensicherheit Vorlesung 5: 15.5.2015 Sommersemester 2015 h_da, Lehrbeauftragter Inhalt 1. Einführung & Grundlagen der Datensicherheit 2. Identitäten / Authentifizierung / Passwörter 3. Kryptografie 4.

Mehr

Informationen - das vernachlässigte Vermögen der Unternehmen

Informationen - das vernachlässigte Vermögen der Unternehmen Information Architecture Seminare 2013 Informationen - das vernachlässigte Vermögen der Unternehmen Grundlage allen betrieblichen Handelns Basis einer gemeinsamen Sprache zwischen Geschäft und IT Fundament

Mehr

IT-Sicherheit Angriffsziele und -methoden Teil 2

IT-Sicherheit Angriffsziele und -methoden Teil 2 Karl Martin Kern IT-Sicherheit Angriffsziele und -methoden Teil 2 http://www.xkcd.com/424/ Buffer Overflows 2 Buffer Overflows Ausnutzen unzureichender Eingabevalidierung Begrenzter Speicherbereich wird

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de

Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Software unsicher entwickeln in sieben Schritten Markus Wutzke, 26.01.2011 wutzke@secaron.de Vorstellung Markus Wutzke Senior Consultant Secaron AG Certified Secure Software Lifecycle Professional (CSSLP

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015 pco ISO/IEC 27001:2013 Praxisworkshop Einleitung Der Praxisworkshop Information-Security-Management-System (ISMS) nach ISO/IEC 27001:2013 vermittelt den Teilnehmern einen fundierten Überblick, wie durch

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Fahrplan für das erste Jahr als Datenschutzbeauftragte(r) Verfahrensverzeichnis und Vorabkontrolle Datenschutzaudits vorbereiten und durchführen IT-Grundlagen

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

vii Inhaltsverzeichnis 1 Einleitung 1

vii Inhaltsverzeichnis 1 Einleitung 1 vii 1 Einleitung 1 1.1 Über dieses Buch................................. 1 1.2 Was ist Sicherheit?............................... 3 1.3 Wichtige Begriffe................................ 4 1.4 Sicherheitskonzepte..............................

Mehr

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011

No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen. Hamburg, 27.09.2011 No Risk, More Fun sichern Sie Software Qualität und schließen Sie Sicherheitslücken on Ihren Webanwendungen Hamburg, 27.09.2011 Ausgangssituation Webanwendungen sind aus unserem heutigen Leben nicht mehr

Mehr

14.05.2013. losgeht s

14.05.2013. losgeht s losgeht s 1 Agenda erläutern 2 Warum jetzt zuhören? 3 BSI-Quartalsbericht 4/2010 Die gefährlichsten Schwachstellen in Webauftritten Häufig wurden SQL-Injection(Weiterleitung von SQL-Befehlen an die Datenbank

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

SWAT PRODUKTBROSCHÜRE

SWAT PRODUKTBROSCHÜRE SWAT PRODUKTBROSCHÜRE SICHERHEIT VON WEB APPLIKATIONEN Die Sicherheit von Web Applikationen stellte in den vergangenen Jahren eine große Herausforderung für Unternehmen dar, da nur wenige gute Lösungen

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer Leitfaden zur Entwicklung sicherer Webanwendungen Empfehlungen und Anforderungen an die Auftragnehmer SEC Consult Deutschland Unternehmensberatung GmbH Bockenheimer Landstraße 17/19 60325 Frankfurt/Main

Mehr

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona

FileBox Solution. Compass Security AG. Cyber Defense AG Werkstrasse 20 Postfach 2038 CH-8645 Jona Compass Security Cyber Defense AG Werkstrasse 20 T +41 55 214 41 60 F +41 55 214 41 61 admin@csnc.ch FileBox Solution Name des Dokumentes: FileBox_WhitePaper_de.doc Version: v2.0 Autor: Ivan Bütler Unternehmen:

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

FRAUNHOFER-INSTITUT FÜR. SEMINAR - 9. Mai 2012. Social Media Management, Monitoring und regionales Internet-Marketing in der Praxis

FRAUNHOFER-INSTITUT FÜR. SEMINAR - 9. Mai 2012. Social Media Management, Monitoring und regionales Internet-Marketing in der Praxis FRAUNHOFER-INSTITUT FÜR Arbeitswirtschaft und Organisation iao SEMINAR - 9. Mai 2012 Social Media Management, Monitoring und regionales Internet-Marketing in der Praxis Einführung Drei Viertel der deutschen

Mehr

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente

OWASP Top 10. Agenda. Application Security. Agenda. Application Security. OWASP Top Ten meets JSF. Application Security Komponente Agenda OWASP Top 10 Andreas Hartmann Komponente Startup 04.04.2013 04.04.2013 2 OWASP Top 10 Agenda Komponente Startup Was ist umfasst alle Maßnahmen im Lebenszyklus von Software, die geeignet sind, sicherheitskritische

Mehr

Seminare 2012. Grundkurs Solution Architecture. Lösungsarchitekturen zielorientiert entwickeln

Seminare 2012. Grundkurs Solution Architecture. Lösungsarchitekturen zielorientiert entwickeln Klaus D. Niemann: Enterprise Architecture Management Grundkurs Solution Architecture Seminare 2012 Lösungsarchitekturen zielorientiert entwickeln Bringen Sie Ihre Lösungsarchitektur in Einklang mit den

Mehr

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server

Agenda. Ingo Ebel (ie007) Benjamin Müller (bm032) Was ist AJAX? Sicherheit Vor- und Nachteile. AJAX Frameworks. Wozu benötigt Client/Server AJAX Agenda Ingo Ebel (ie007) Was ist AJAX? Wozu benötigt Client/Server Sicherheit Vor- und Nachteile Benjamin Müller (bm032) AJAX Frameworks GWT ATF Ingo Ebel - ie007 2 Web 2.0 Ingo Ebel - ie007 3 Ingo

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn

Aktuelle Angriffstechniken. Steffen Tröscher cirosec GmbH, Heilbronn Aktuelle Angriffstechniken Steffen Tröscher cirosec GmbH, Heilbronn Gliederung Angriffe auf Webanwendungen Theorie und Live Demonstrationen Schwachstellen Command Injection über File Inclusion Logische

Mehr

Unternehmensvorstellung

Unternehmensvorstellung Unternehmensvorstellung Stand zum 14. September 2010 If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology - Bruce Schneier

Mehr

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen

Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sichere Entwicklung und gängige Schwachstellen in eigenentwickelten SAP-Web- Anwendungen Sebastian Schinzel Virtual Forge GmbH University of Mannheim SAP in a Nutshell Weltweit führendes Unternehmen für

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Sicherheit in Webanwendungen CrossSite, Session und SQL

Sicherheit in Webanwendungen CrossSite, Session und SQL Sicherheit in Webanwendungen CrossSite, Session und SQL Angriffstechniken und Abwehrmaßnahmen Mario Klump Die Cross-Site -Familie Die Cross-Site-Arten Cross-Site-Scripting (CSS/XSS) Cross-Site-Request-Forgery

Mehr

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an

Carsten Eilers / www.ceilers-it.de. Sicherheit von Anfang an Carsten Eilers / www.ceilers-it.de Sicherheit von Anfang an Vorstellung Berater für IT-Sicherheit Web Security (Pentests, Beratung,...)... Autor PHP Magazin, Entwickler Magazin Blog: www.ceilers-news.de...

Mehr

SEMINAR Expert Live Hacking Praxis - Angriffsszenarien und Gegenmaßnahmen. Preis

SEMINAR Expert Live Hacking Praxis - Angriffsszenarien und Gegenmaßnahmen. Preis Home Schulungen Seminare Informationssicherheit (Security, Recht, DS) IT Sicherheit Expert Live Hacking Praxis - Angriffsszenarien und Gegenmaßnahmen SEMINAR Expert Live Hacking Praxis - Angriffsszenarien

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

Die Führungskraft als Konflikt-Coach

Die Führungskraft als Konflikt-Coach Konfliktberatungskompetenz für das moderne Management Konflikt Verfügen Sie über fundiertes Wissen und professionelles Handwerkszeug, um Konflikte zu bearbeiten? Fühlen Sie sich ausreichend befähigt, mit

Mehr